Virtuelle Risiken sind real

* Martin Zwyssig ist Vorstand bei ICMF. Computerworld ist Medienpartner des ICMF. „Virtual Security“ hiess das vielversprechende Motto der ICMF-Tagung vom 10.4.2013 im Zürcher Technopark. 5 Top-Referenten aus der Schweizer IT-Security Fachszene beleuchteten einen der meist genannten kritischen Erfolgsfaktoren der immer populäreren Cloud-Dienste: die realen Risiken der virtuellen Welten. Dabei erfuhren die Tagungsteilnehmenden nicht nur etwas über „Gut und Böse“, sondern kriegten auch einen Einblick über heutige und künftige Möglichkeiten zur Reduktion der Risiken in der virtuellen Welt. Michael Schneider, Security Consultant von GO OUT zeigte eindrücklich auf, mit welchen via Internet erhältlichen Werkzeugen Daten geklaut oder manipuliert werden können. Sich darauf zu verlassen, dass bei professionellen Cloud-Providern nichts schief geht, ist bekanntlich keine Lösung. Auch diese sind nicht gefeit vor grösseren und längeren Ausfällen wie schon des Öfteren darüber zu lesen war. 

Marcel Liebi vom IT Security Anbieter In&Out bestätigte diese Risiken und wies insbesondere darauf hin, dass grosse Unterschiede in den verschiedenen Ländern in Bezug auf das Datenschutzgesetz und die Herausgabe von Daten bestehen. Vor der (geschäftlichen) Nutzung von Cloud Services müssen im Rahmen der Vorabklärungen die gesetzlichen und regulatorischen Rahmenbedingungen geklärt, sowie unbedingt eine Datenkategorisierung vorgenommen werden, lautet eine der Empfehlungen des Security-Fachmanns. Und eine weitere sei die Verwendung kryptografischer Verfahren zur Sicherstellung der Vertraulichkeit von schützenswerten Daten. Dass dies so einfach (noch) nicht ist wurde anhand zweier Beispiele aufgezeigt. „Auch die Virtualisierung bietet keinen ausreichenden Schutz“ so Candid Wüest Threat Researcher vom Symantec Security Response Team. Doch wo lauern eigentlich die grössten Gefahren? 40% der Daten Vorfälle 2012 seien auf Hacker, 23%  Malware und ebenfalls 23% auf Diebstahl/Verlust der Geräte zurückzuführen (Quelle: SC Magazine, Report: Among simple, yet effective web app attacks, cloud environments hit hardest) schildert Wüest. Und welche Unternehmen sind Ziele der Angriffe? “Häufig KMU’s, welche nicht immer gut geschützt seien, und immer beliebter auch Cloud-Dienste wo grosse Mengen Daten einsehbar werden”.

Bis neuartige Verfahren, wie beispielsweise die Voll Homomorphe Verschlüsselung von Datenbeständen eine sichere Übertragung und Verarbeitung von Daten beim Cloud-Provider künftig sicherstellen, werden vermutlich noch ein paar Jahre vergehen. Darin waren sich die Experten einig. Doch was tun in der Zwischenzeit? Einerseits ist gemäss Wüest ein Paradigmenwechsel hinsichtlich des Informationsschutzes zu vollziehen. Weg von  systemzentrischen und hin zu informationszentrischen Schutzverfahren. Also Schutz der Daten - egal wo sie sind - und nicht der Systeme. Andererseits spricht Oliver Jäschke von Swisscom IT Services eine weitere grosse Hürde an, welche sich jemanden in den Weg stellt, der Sourcen möchte. Das Vertrauen. Jäschke zeigt auf, wie man das Vertrauen eines Outsoucers gewinnt und behält. Dabei geht es weniger um perfekte Lösungen als vielmehr um Transparenz der implementierten Sicherheitsmassnahmen und deren Status. Ein eigens dafür entwickeltes Framework zur Messung und Rapportierung der Security gibt dem Kunden ein Werkzeug zur Hand, den Status der Informationssicherheit stufengerecht zu kommunizieren.

René Eberhard, CEO von Keyon zeigte in seinem lösungsorientierten Praxisreferat die Vorteile von zentralen Signaturservern auf. Welches sind praktische Anwendungsfälle für den Einsatz von zentralen Signaturservern? Eberhard nennt u.a. „Signieren von Rechnungen, Belegen und Archivdaten; Freigabeprozesse in Workflows; Schützen von Daten über Information Rights Management und Prüfen von elektronischen Signaturen des Unterzeichners“. Anhand konkreter Beispiele zeigt Eberhard auf, dass in der Schweiz gute und sichere Lösungen beispielsweise mit virtuellen Smartcards implementiert sind, welche sich durchaus auch für die Cloud eignen würden. Für Eberhard steht fest, dass zentrale Signaturserver an Bedeutung gewinnen, da deren Prozesse und Technologie sicher, verfügbar und erprobt seien. Und mit einem Schmunzeln stellt er die Frage in den Raum, ob es denn noch einen Virenschutz brauche, wenn alles signiert sei? Weitere Informationen zu den Referenten oder Referaten bei info@icmf.ch.